透過的な暗号化の仕組み
CyberSafeの透過的な暗号化機能は、特定のアプリケーションがファイルにアクセスしたときにファイルを解読し、ファイルの処理が完了した後に暗号化する特別なファイルシステムドライバーによって実行されます。 また、ドライバーは、保護フォルダーに追加されるすべての新しいファイルを暗号化します。
暗号化プロセスは次のように発生します。
- ソースファイルは、AESアルゴリズムとプログラムによってランダムに生成された256ビットの対称キーを使用して暗号化されます。
- 対称キーは、最大8192ビット長のユーザーの公開キーを使用するRSA暗号化によって保護され、代替NTFSデータストリームに格納されます。
ユーザーが対応するアプリケーションにアクセスしているときにファイルを操作すると、ファイルは次のスキームに従って自動的に復号化されます。
- ユーザーの秘密キーを使用して、ADSに保存されている対称キーが復号化されます。
- 対称キーを使用して、ソースファイルが復号化されます。
透過的な暗号化の主な利点は、保護されたファイルを操作する便利さです。 暗号化/復号化プロセスは自動的に(ユーザーに対して透過的に)行われ、ユーザーからの追加のアクションは必要ありません。
CyberSafeは代替ストリームを使用して暗号化された対称キーを保存するため、プログラムを使用した透過的な暗号化はNTFSファイルシステムでのみ可能です。
CyberSafeで暗号化されたフォルダーを操作する
透過的暗号化機能によって保護されているすべてのファイルは、フォルダーに保存されます。
このようなフォルダーを作成するには、プログラムを開き、[ ファイルの暗号化]> [透過的な暗号化]を選択して、コンピューターで以前に作成した空のフォルダーを追加します。 ファイルの暗号化と復号化に使用される公開/秘密キーペアを割り当てるには、[ キー ]ボタンを使用します。
既存のファイルを操作したり、新しいファイルを追加するには、フォルダーを有効にする必要があります(秘密キーのパスワードを入力する必要があります)。
含まれているフォルダーに追加されたすべてのファイルは自動的に暗号化されます。 ファイルを操作する場合、ファイルの暗号化と復号化のプロセスは自動的に(透過的に)行われます。
フォルダーの操作が終了すると、フォルダーはオフになります。 その後、すべてのアプリケーションの暗号化されたファイルへのアクセスが閉じられます。そのようなファイルを表示、編集、削除することはできません。 CyberSafeが機能していない場合でも、これは当てはまります。
CyberSafeでファイルを暗号化した後、キャッシュされたコピーがWindowsに残る場合があるため、保護フォルダー内のファイルが暗号化されていないように見える場合がありますが、そうではありません。 実際には暗号化されていますが、Windowsはキャッシュされたコピーを表示します。 そのため、CyberSafe 2.1.34の現在のバージョンで透過的な暗号化を使用する場合、コンピューターを再起動することで追加のキャッシュクリーニングが必要になります。 将来的には、この欠点は解消されます。
[ アプリケーション ]タブでは、暗号化されたファイルの操作を許可する信頼できるアプリケーションを定義できます。 デフォルトでは、すべてのアプリケーションが信頼されています。 つまり、含まれているフォルダー内のファイルへのアクセスが必要なアプリケーションは、これらのファイルがドライバーによって復号化され、このアプリケーションが編集、コピー、または削除できるようになります。
ただし、不要なプログラムの機密情報へのアクセスを制限するために、信頼できるアプリケーションのリストを作成できます。 この場合、信頼できるアプリケーションのみが暗号化されたフォルダー内のファイルにアクセスでき、他のすべてはアクセスできません。 信頼できるリストをコンパイルすると、他のアプリケーションは自動的に禁止され、ファイルにアクセスできなくなります。
たとえば、保護されたフォルダにはテキストドキュメントのみを保存します。 次に、これらのドキュメントへのアクセスを許可するのは、Word、Exel、Notepad ++などのテキストエディターなど、使用するアプリケーションのみに許可し、他のユーザーを禁止して、禁止されていると識別することは論理的です。
禁止されたアプリケーションは、信頼できるアプリケーションがファイルを操作しているとき、つまりファイルが復号化され脆弱な場合でも、機密情報にアクセスできません。 そのため、スパイウェア、不要なソフトウェア、悪意のあるソフトウェアの機密情報へのアクセスを制限しています。
オプションで、保護されたファイルのコピーのみが許可されるアプリケーションのリストを作成することもできます。
信頼できるアプリケーションと禁止されているアプリケーションを操作するための機能は、透過的な暗号化ドライバーに割り当てられます。 ドライバーは保護されたファイルを操作し、設定された設定(ルール)に従って、このアプリケーションまたはそのアプリケーションのファイルへのアクセスを許可または拒否します。 概略的に、ドライバーのアルゴリズムを以下に示します。
EFSを超える利点
保護の追加手段としてのトークンの使用
概して、EFSの暗号化されたファイルの保護全体は、システムのアカウントパスワードを知ることになります。 このパスワードを知っているユーザーは、すべての暗号化されたファイルにアクセスできます。 ご存知のように、今日では1つのパスワードでのパスワード保護では十分な効果がありません。 それが弱い場合-あなたはそれを拾うことができます、キーボードから入力されたパスワードを追跡する方法があります。 CyberSafeでは、トークンシステム(任意のフラッシュドライブをトークンとして使用できます)を導入しているため、攻撃者がなんらかの方法でパスワードを取得したとしても、プログラムで暗号化されたファイルにはアクセスできません。
ネットワークフォルダーの透過的な暗号化
ご存知のように、EFSはネットワーク経由で送信されるファイルの暗号化をサポートしていません。送信された情報を保護するには、IPsecやWebDAVなどの追加の保護プロトコルを使用する必要があります。 CyberSafeにはそのような欠点はなく、企業の複数の従業員に同じ暗号化されたフォルダーへのアクセスを提供する必要がある企業スペース内のフォルダーを透過的に暗号化するためにプログラムを効果的に使用できます。 ネットワークフォルダーの暗号化の詳細については、次のトピックで説明します。
削除からフォルダーを保護する
EFSでは、アカウントにアクセスできるすべてのユーザーが、暗号化されたデータを含むフォルダーを削除できます。 暗号化されたファイルのバックアップがない場合、すべての貴重な情報が失われます。 CyberSafeでは、暗号化されたファイルのあるフォルダーを無効にした後、コンピューターのハードドライブから削除する他のユーザーからさらに保護されます。
作業速度
前述のように、CyberSafeの透過的な暗号化機能は、特別なファイルシステムドライバーによって実行されます。 ファイルの読み取り/書き込み中に、暗号化/復号化操作を実行し、非常に高速で実行します。
EFSとCyberSafeの暗号化速度を比較するために、私は簡単なテストを行い、各プログラムの同じフォルダーを暗号化し、それぞれの暗号化にかかった時間を測定しました。 OS:Windows XP SP3。 フォルダーの重量:1.6 GB、コンテンツ:拡張子がavi、jpg、png、bmp、pdf、docx、txt、cdr、psd、pptの26個のファイル。 テキストの結果を以下の表に示します。
信頼できるアプリケーションシステムの可用性
スパイウェアがコンピュータに到達した場合、EFSの助けを借りて保護された機密情報は盗難の危険にさらされます。 CyberSafeでは、この欠点は信頼できるアプリケーションのシステムを使用することで解決されます。自分で定義したプログラムのみが、保護されたフォルダーとそこに保存されている機密データにアクセスできます。